Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

NVMe를 통해 대역 내 인증을 설정합니다

기여자

ONTAP 9.12.1부터 ONTAP CLI(명령줄 인터페이스)를 사용하여 DH-HMAC-CHAP 인증을 사용하여 NVMe/TCP 및 NVMe/FC 프로토콜을 통해 NVMe 호스트와 컨트롤러 간에 대역 내(보안), 양방향 및 단방향 인증을 구성할 수 있습니다. ONTAP 9.14.1부터 System Manager에서 대역 내 인증을 구성할 수 있습니다.

대역내 인증을 설정하려면 각 호스트 또는 컨트롤러가 NVMe 호스트 또는 컨트롤러의 NQN 및 관리자가 구성한 인증 비밀의 조합인 DH-HMAC-CHAP 키와 연결되어야 합니다. NVMe 호스트 또는 컨트롤러가 해당 피어를 인증하려면 피어와 연결된 키를 알고 있어야 합니다.

단방향 인증에서는 호스트에 대해 암호 키가 구성되지만 컨트롤러는 구성되지 않습니다. 양방향 인증에서 비밀 키는 호스트와 컨트롤러 모두에 대해 구성됩니다.

SHA-256은 기본 해시 함수이고 2048비트는 기본 DH 그룹입니다.

시스템 관리자

ONTAP 9.14.1부터는 System Manager를 사용하여 NVMe 서브시스템을 생성 또는 업데이트하고, NVMe 네임스페이스를 생성 또는 클론 복제하며, 새로운 NVMe 네임스페이스로 일관성 그룹을 추가하는 동안 대역 내 인증을 구성할 수 있습니다.

단계
  1. System Manager에서 * Hosts > NVMe Subsystem * 을 클릭하고 * Add * 를 클릭합니다.

  2. NVMe 서브시스템 이름을 추가하고 스토리지 VM 및 호스트 운영 체제를 선택합니다.

  3. 호스트 NQN을 입력합니다.

  4. 호스트 NQN 옆에 있는 * Use in-band authentication * 을 선택합니다.

  5. 호스트 암호 및 컨트롤러 암호를 제공합니다.

    DH-HMAC-CHAP 키는 NVMe 호스트 또는 컨트롤러의 NQN과 관리자가 구성한 인증 비밀의 조합입니다.

  6. 각 호스트에 대해 선호하는 해시 기능과 DH 그룹을 선택합니다.

    해시 함수와 DH 그룹을 선택하지 않으면 SHA-256이 기본 해시 함수로 할당되고 2048비트가 기본 DH 그룹으로 할당됩니다.

  7. 선택적으로 * Add * 를 클릭하고 필요에 따라 단계를 반복하여 호스트를 추가합니다.

  8. 저장 * 을 클릭합니다.

  9. 대역 내 인증이 활성화되어 있는지 확인하려면 * System Manager > Hosts > NVMe Subsystem > Grid > Peek view * 를 클릭합니다.

    호스트 이름 옆에 투명한 키 아이콘은 단방향 모드가 설정되어 있음을 나타냅니다. 호스트 이름 옆의 불투명 키는 양방향 모드가 활성화되었음을 나타냅니다.

CLI를 참조하십시오
단계
  1. DH-HMAC-CHAP 인증을 NVMe 하위 시스템에 추가합니다.

    vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function <sha-256|sha-512> -dhchap-group <none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit>
  2. DH-HMAC CHAP 인증 프로토콜이 호스트에 추가되었는지 확인합니다.

    vserver nvme subsystem host show
      [ -dhchap-hash-function {sha-256|sha-512} ]  Authentication Hash Function
      [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ]
                                                   Authentication Diffie-Hellman
                                                   Group
      [ -dhchap-mode {none|unidirectional|bidirectional} ]
                                                   Authentication Mode
  3. NVMe 컨트롤러 생성 중에 DH-HMAC CHAP 인증이 수행되었는지 확인합니다.

    vserver nvme subsystem controller show
     [ -dhchap-hash-function {sha-256|sha-512} ]  Authentication Hash Function
     [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ]
                                                   Authentication Diffie-Hellman
                                                   Group
     [ -dhchap-mode {none|unidirectional|bidirectional} ]
                                                   Authentication Mode